31 августа 2014 г.

Что нового для специалистов по информационной безопасности

Весна и лето этого года были как никогда урожайны на законодательные изменения, затрагивающие вопросы обеспечения информационной безопасности. Про многие из них я писал в своих постах: про коммерческую тайну и секреты производства; про материальное стимулирование работников к созданию охраноспособных секретов; про хранение баз персональных данных россиян на территории России и блокировку сайтов операторов, нарушающих закон, про вывод надзора за выполнением требований законодательства о персональных данных из-под регулирования 294-ФЗ; про блогеров и не-блогеров; про организаторов распространения информации в сети интернет и организацию у них СОРМ; про идентификацию пользователей публичного интернета и уточнение его порядка в новом постановлении правительства и разъяснениях Минкомсвязи.
И это еще не все. Принято еще несколько постановлений правительства, все эти вопросы конкретизирующих или окончательно запутывающих. Готовится приказ Минкомсвязи «Об утверждении требований к оборудованию и программно-техническим средствам, используемым организатором распространения информации в сети «Интернет» в эксплуатируемых им информационных системах». Роскомнадзор активно применяет такую форму надзорной деятельности, как систематическое наблюдение, и блокирует сайты с персональными данными, не дожидаясь 1 октября 2016 года.
Читать посты – это, конечно, хорошо, но мало, чтобы разобраться в проблеме. Тем более, что уже завтра – 1 сентября, начало нового учебного года для всех образовательных учреждений.
В октябре мы, совместно с нашими партнерами, запускаем программу нового семинара – «Изменения в законодательстве о персональных данных и коммерческой тайне, правоприменительной практике и их влияние на бизнес». Семинар рассчитан на тех, кто уже в теме, и хочет оставаться в тренде. Подробно расписывать содержание не вижу смысла, вот его программа:
1.   Изменения в законодательстве о коммерческой тайне
·       Информация, составляющая коммерческую тайну, и секрет производства (ноу-хау) после 1 октября 2014 года. Можно ли защитить секрет производства, не устанавливая режим коммерческой тайны?
·       Права обладателя информации, составляющей коммерческую тайну.
·       Новый порядок возмещения убытков, причиненных обладателю секретов, вследствие разглашения информации, составляющей коммерческую тайну.
·       Материальное поощрение работника, создавшего секрет производства – добрая воля или обязанность работодателя? Постановление Правительства РФ от 04.06.2014 № 512 «Об утверждении Правил выплаты вознаграждения за служебные изобретения, служебные полезные модели, служебные промышленные образцы».
2.   Изменения в законодательстве о персональных данных
·       99-ФЗ: изменения в 14 федеральных законах. Зачем, почему и к чему это приведет. Какие организации могут передавать персональные данные субъектов третьим лицам без согласия и в каких целях. Изменения в Трудовом и Гражданском процессуальном кодексе, законе «Об образовании», касающиеся персональных данных. Изменения в законах, регулирующих конкретные сферы деятельности.
·       242-ФЗ: это закон не только о местах хранения баз персональных данных россиян. Когда и кому можно хранить базы данных за рубежом. Порядок блокировки доступа к сайтам в сети интернет лиц, нарушающих Федеральный закон «О персональных данных». Вывод надзора в сфере персональных данных из юрисдикции Федерального закона № 294-ФЗ «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля».
·       Полномочия органов прокуратуры в отношении доступа к персональным данным.
·       Передача персональных данных при уступке прав требования. Агентирование при взыскании просроченной задолженности.
·       Доступ к банковской тайне и новая редакция ст.26 закона «О банках и банковской деятельности».
·       Обработка персональных данных при оказании государственных и муниципальных услуг. Нужно ли согласие субъекта на обработку, если да – в каких случаях.
·       97-ФЗ - закон не о блогерах. Блогеры, владельцы сайтов и организаторы распространения информации. Порядок хранения информации о блогерах и посетителях сайтов, оставивших сообщения. Какое отношение блогеры имеют к электронным платежам? Порядок ограничения доступа к информационному ресурсу организатора распространения информации в интернет. Требования постановлений Правительства РФ, принятых в связи с «законом о блогерах».
3.   Новое в правоприменительной практике в сфере персональных данных
·       Блокирование Роскомнадзором сайтов с персональными данными через механизм единого реестра запрещенной информации. За что, почему и как.
·       Мероприятия Роскомнадзора по систематическому наблюдению за операторами персональных данных. Что это такое, как происходит и к каким последствиям приводит.
·       Разъяснения Роскомнадзора по вопросам отнесения фото-, видеоизображений, дактилоскопических данных к биометрическим персональным данным и особенностям их обработки.
·       Судебная практика, связанная с получением доступа к персональным данным и тайне связи Банком России в рамках противодействия инсайдерской деятельности и манипулированию рынком.
·       Передача персональных данных и иной охраняемой законом тайны дочерним предприятиям, обслуживающим население. Взаимодействие с агентами, заключающими договоры с физическими лицами в интересах оператора персональных данных. Обзор судебных решений.
Премьера курса – 10 октября в Самаре в центре «Технологии управления бизнесом» и 16 октября в Москве, в Учебном центре «Информзащита». Будут ли это разовые мероприятия, или чтение этого курса продолжится и далее, мы еще не решили. Так что желающим разобраться в нововведениях детально, лучше посетить одно из этих двух мероприятий. Учебный центр организует также и дистанционное участие в мероприятии.
Безусловно, новые нормы законодательства и постановлений правительства, указанные в программе, найдут свое отражение и в тех курсах, которые будут проводиться осенью: КП32 «Защита персональных данных» 15-16 сентября и 13-14 октября, КП30 «Реализация режима коммерческой тайны на предприятии 13-14 ноября в Учебном центре «Информзащита», «Сложные проблемы применения законодательства о персональных данных в кредитно-финансовых учреждениях» 25 сентября и «Реализация режима коммерческой тайны» 26 сентября в НП «БизнесШколаКонсультант».

20 августа 2014 г.

Постановление не про WiFi: продолжение последовало. На принтере появилась турбокнопка

Совсем недавно я писал про постановление Правительства от 31.07.2014 № 758 об идентификации пользователей интернета и высказывал предположение о том, что авторы документа не совсем поняли, что же они написали. Подтверждением этого, на мой взгляд, являются впечатляющие комментарии к нормативному акту, в первую очередь от ведомства его написавшего – Минкомсвязи, которое, не указывая номер постановления Правительства, допустило возможность использования провайдерами способов идентификации, правилами оказания услуг связи не предусмотренными. Еще дальше пошел Артем Ермолаев, руководитель департамента информационных технологий Москвы. Он вообще решил опровергнуть введение новых требований. В сложившейся ситуации вынуждено было сказать свое слово устами пресс-секретаря премьера и Правительство. Наталья Тимакова сообщила, что «в закон, норма которого предусматривает запрет на анонимный Wi-Fi, могут быть внесены изменения».
Вчера на сайте Минкомсвязи появился новый комментарий «Утверждены разъяснения к порядку идентификации пользователей для доступа к Wi-Fi в публичных местах». В нем, опять без ссылки на номер и дату постановления Правительства, сообщалось что оператор связи, перед открытием доступа в интернет, может предложить пользователю ввести номер своего мобильного телефона, на который будет направлен код для подтверждения введенных данных, либо указать свою фамилию, имя и отчество, которые подтверждаются учетной записью на Едином портале государственных услуг, документом, удостоверяющим личность, или иным способом, не противоречащим законодательству. Я даже растерялся. Что, опять?!
Наши аналитики исследовали ситуацию и принесли искомую сахарную косточку – Постановление Правительства РФ от 12.08.2014 № 801 с уже «горячо любимым» названием «О внесении изменений в некоторые акты Правительства Российской Федерации».
На самом деле это не про некоторые акты. Это конкретно про правила оказания универсальных, телематических услуг и услуг передачи данных. Тех самых, в которые за две недели до этого уже были внесены изменения тем самым постановлением № 758. Каких-либо упоминаний об этом ни в новом постановлении, ни в комментарии регулятора на официальном сайте, естественно, нет.
Что же поменялось на этот раз? Во всех трех правилах в дополнение к «паспортной» идентификации пользователя интернета добавилась возможность идентификации «либо иным способом, обеспечивающим достоверное установление указанных сведений, в том числе с использованием федеральной государственной информационной системы "Единая система идентификации и аутентификации в инфраструктуре, обеспечивающей информационно-технологическое взаимодействие информационных систем, используемых для предоставления государственных и муниципальных услуг в электронной форме", или достоверного установления абонентского номера, назначенного пользователю в соответствии с договором об оказании услуг подвижной радиотелефонной связи, заключенным с оператором связи». Т.е. те способы, о которых было сообщено в первом комментарии Минкомсвязи, но которых в предыдущем постановлении не было. Изменения вносятся как раз в новые пункты, добавленные в правила 31 июля.
Но это не все. Как это принято для документов с названием «О внесении изменений в некоторые...», там поставлена такая незаметная растяжка, привязанная к чеке небольшой бомбы. В первых абзацах п.24.1 правил оказания услуг передачи данных и п.17.1 правил оказания телематических услуг исключены слова «оператора связи». Простенько так и со вкусом. Как выглядят абзацы теперь, в постановлении и комментарии ведомства, естественно, не сказано.
А редакция у них теперь весьма интересная. «В случае заключения срочного договора об оказании разовых … услуг связи в пунктах коллективного доступа осуществляет идентификацию пользователей и используемого ими оконечного оборудования оператора связи». Простите, а кто же осуществляет теперь идентификацию? Вы уже, конечно, догадались? Да, правильно. Персонал кафе или аэропорта, где установлен Wi-Fi-роутер, администрация парка Горького и московского метрополитена и т.д. Правда, постановлением на них такая обязанность прямо не возложена, и оператору связи, предоставляющему доступ в интернет, придется прямо указать об этом в договоре с клиентом-юридическим лицом, чтобы выполнить требование правил оказания услуг связи. И какая-нибудь «Сладкарница» окажется теперь перед непростым выбором – отказаться от Wi-Fi, из-за которого именно в это, а не другое кафе приходит значительная часть посетителей, требовать с посетителей паспорта и фиксировать эти данные перед выдачей или не соблюдать условия договора с оператором.
Последний вариант раскручивает еще один клубок проблем. Поскольку ответственности за невыполненную идентификацию пока вроде бы нет, владельцу кафе это вроде бы никак не угрожает. Но не будем забывать, что за требованием идентификации стоит СОРМ, несоблюдение требований к которому чревато приостановкой, а то и лишением оператора лицензии. Значит, ответственность владельца кафе будет определяться в рамках регресса, т.е. требования оператором возмещения убытков в связи с приостановкой или отзывом лицензии. Все задумались.
Я понимаю, что призывать думать, прежде чем писать нормативные правовые акты – это голосить в пустыне. Но хоть кто-то за такие перлы должен отвечать? По все чиновничьим нормам господин Ермолаев должен уйти в отставку – он дал заведомо ложную информацию о требованиях постановления правительства страны. Должны полететь головы в Минкомсвязи, которые придумали сначала первый документ, а через две недели, еще немного подумав, изменения в него. Кто-то должен разобраться, в чем причина сложившейся ситуации, и чья конкретно некомпетентность к этому привела.
Владельцам коллективных точек доступа в интернет я теперь не завидую. У них нелегкий выбор, и все стрелки переведены на них.

15 августа 2014 г.

Постановление не про WiFi по паспортам

Появился новый жар, у меня, во всяком случае. Рожден он многочисленными комментариями к появляющимся со скоростью пулеметной очереди нормативным правовым актам. Поскольку актов очень много, они длинные и трудночитаемые, комментаторы, включая депутатов и чиновников, причастных к их принятию, а также журналисты с универсальными знаниями, читают первые пару строк (или абзац в лучшем случае) и комментируют. Потом все это обсуждают.
Алексей Волков уже спокойно (в смысле без паники) и очень точно описал ситуацию с постановлением Правительства РФ от 31.07.2014 № 758 с длинным названием «О внесении изменений в некоторые акты Правительства Российской Федерации в связи с принятием Федерального закона "О внесении изменений в Федеральный закон "Об информации, информационных технологиях и о защите информации" и отдельные законодательные акты Российской Федерации по вопросам упорядочения обмена информацией с использованием информационно-телекоммуникационных сетей». Мы с ним на эту тему плотно пообщались, пришли к общему мнению, которое он традиционно точно изложил. Я уж было передумал написать на эту тему, но обилие комментариев теперь и к посту Алексея заставили изменить намерения.
Начну с того, что на 100% уверен, что авторы сего документы написали совсем не то, что было предписано, и до конца не поняли, что написали. Об этом говорят комментарии из Министерства связи и Правительства. Писали очень быстро, впопыхах, и похоже, в двух разных департаментах министерства. Сводить тексты было некому и некогда. Итак, аккуратно смотрим, что получилось на выходе.
Постановление вносит изменения в правила оказания трех видов услуг связи: универсальных, передачи данных и телематических. Соответственно, в нем три пункта с подпунктами.
Первый пункт касается только универсальных услуг, и больше ничего. Универсальные услуги связи в соответствии с законом «О связи» - это «услуги связи, оказание которых любому пользователю услугами связи на всей территории Российской Федерации в заданный срок, с установленным качеством и по доступной цене является обязательным для операторов универсального обслуживания». По-русски если – то это таксофон в глухой деревне, где прокладка меди и установка аппарата никогда не окупится, но скорую помощь иногда вызывать надо. Или компьютер с доступом в интернет в почтовом отделении (оно же и местный банк, как правило). Кстати, этот компьютер на почте и есть пункт коллективного доступа (ПКД), и его функционирование вовсе не предполагает использование WiFi. Это просто возможность почитать электронную почту и посерфить в интернете со скоростью не менее 256 кбит/с с помощью средств, предоставленных оператором (компьютера или WiFi–роутера, например).
У операторов универсальных услуг с государством особые отношения в связи с этим, но нам до этого дела нет, в вашем офисе или кафе-пончиковой за углом оказывается совсем не универсальная услуга. Поэтому даже разбираться с тем, что конкретно представляет собой ПКД, смысла нет. Пусть оператор универсальных услуг разбирается, пункт касается только его. Отметим только (потом понадобится) что сведения о пользователе универсальной услуги, представленные при использовании ПКД (в постановлении указано, какие именно) хранятся оператором связи (не почтой) не менее 6 месяцев.
А вот второй и третий пункты постановления про нас с вами.
Регламентируют они два варианта использования интернета при получении услуг передачи данных и телематических услуг (в комментариях к постановлению много ссылок на их определения и отличия, место тратить не буду, отмечу лишь, что, организовав доступ в интернет в офисе своей компании или шашлычной, вы пользуетесь одной из них или обе).
Подпункты а) в пунктах 2 и 3 – про разовые услуги доступа к интернету с использованием ПКД. Что такое разовые услуги, в правилах их оказания не говорится, но это было написано и до ПП-758, что договор об оказании разовых услуг передачи данных и телематике предполагает использование ПКД, заключается путем осуществления пользователем конклюдентных действий, направленных на получение услуги, и считается заключенным с момента таких действий. ПП-759 дополняет эту норму требованием идентификации пользователя и используемого им оконечного оборудования оператора связи. Обратили внимание? Должно идентифицироваться оборудование оператора связи, а не пользователя. И чего его идентифицировать, если оператор его сам и поставил и точно знает его mac-адрес? Про смартфоны в качестве ПКД я пока не слышал, но и их IMEI, если смартфоны предоставлены оператором, оператор отлично знает. И это первая засада.
Идентификация пользователя осуществляется оператором связи путем установления фамилии, имени, отчества (при наличии) пользователя, подтверждаемых документом, удостоверяющим личность. Если кто не знает, в соответствии с Указом Президента РФ от 13.03.1997 № 232, основным документом, удостоверяющим личность гражданина Российской Федерации на территории Российской Федерации, является паспорт гражданина Российской Федерации. Я искренне удивился, когда читал разъяснения на сайте регулятора про водительские права, СМС и специальную веб-форму. Как оператор будет сличать данные в правах или СМС с основным документом, я не догадываюсь. Но Роскомнадзор к концу месяца обещает придумать методику, тогда и посмотрим. Здесь вторая засада. Нововведения в этих подпунктах накладывают обязанности только на оператора связи, владельцам кафе и гостиниц, администрации парков, аэропортов и метрополитена до этого никакого дела нет, и в их работе ничего не меняется. Требование к ним не относится.
Подпункты б) пунктов 2 и 3 обязывают пользователя телематики и передачи данных (юридическое лицо или индивидуального предпринимателя) собирать и раз в три месяца передавать своему провайдеру список лиц, использующих его (юридического лица или индивидуального предпринимателя) пользовательское (оконечное) оборудование, который содержит сведения об использующих это самое оборудование - фамилию, имя, отчество, место жительства, реквизиты основного документа, удостоверяющего личность. Это третья засада, и самая большая пока.
Очевидно, что работники, которым выдали компьютеры и смартфоны, должны попасть в этот список. А как быть с посетителями, получающими гостевой доступ, в том числе – посетителями кафе или пассажирами аэропортов со своими средствами доступа? А это зависит от того, что такое пользовательское (оконечное) оборудование. Проблема в хот-споте. Устройства, создающие этот самый хот-спот – оконечное оборудование или нет? В законе о связи это «технические средства для передачи и (или) приема сигналов электросвязи по линиям связи, подключенные к абонентским линиям и находящиеся в пользовании абонентов или предназначенные для таких целей». 
А вот в правилах оказания телематических услуг связи (это и есть доступ в интернет, строго говоря) наряду с пользовательским (оконечным) оборудованием используется термин «абонентский терминал» - совокупность технических и программных средств, применяемых абонентом и (или) пользователем при пользовании телематическими услугами связи для передачи, приема и отображения электронных сообщений и (или) формирования, хранения и обработки информации, содержащейся в информационной системе. Ключевыми словами являются здесь отображение, хранение и обработка. Т.е. компьютер – это абонентский терминал, а оконечное оборудование – гораздо шире. И WiFi или проводной роутер под его определение вполне попадает.
Из этого следует весьма неутешительный вывод. При соответствующем желании надзорного органа требование показать список всех, пользующихся доступом в интернет, предоставленным юридическим лицом или ИП, вполне законен. Как к владельцу кафе, так и к оператору связи.
Уткнувшись в нечеткие определения понятий, мы опять получаем избирательность применения права в зависимости от трактовки норм надзирающими.
И в заключение про разных авторов. Помните требования к срокам хранения в п.1, на которые я обращал внимание? В пунктах 2 и 3 никаких сроков нет. Из чего делаю вывод, что писали разные люди, а «сбивать» в единое целое было некогда. Поскольку написал за свою жизнь массу нормативки, имею основания. 
Да, кстати. Требование о предоставлении оператору списков лиц, использующих оконечное оборудование юридического лица, заверенных уполномоченным представителем юридического лица, в котором указаны их фамилии, имена, отчества, места жительства и реквизиты основного документа, удостоверяющего личность, было и есть в Постановление Правительства РФ от 27.08.2005 № 538 «Об утверждении Правил взаимодействия операторов связи с уполномоченными государственными органами, осуществляющими оперативно-разыскную деятельность». Представители компаний, которым я об этом говорил, неизменно искренне удивлялись. Ни один из них такого списка никогда не предоставлял. Это так, для понимания ситуации.

8 августа 2014 г.

Закон не о блогерах-2. Организаторы распространения информации

Продолжим совместное чтение нового Федерального закона от 5 мая 2014 года № 97-ФЗ «О внесении изменений в Федеральный закон «Об информации, информационных технологиях и о защите информации» и отдельные законодательные акты Российской Федерации по вопросам упорядочения обмена информацией с использованием информационно-телекоммуникационных сетей», который, как я пытался убедить читателей, вовсе не «закон о блогерах». Учитывая огромное количество вопросов и возражений, высказанных на разных зеркалах блога, поясняю ситуацию. Если бы в законе было написано «Блогер – физическое лицо, по своей воле периодически публикующее на специально созданном сайте или странице сайта в сети интернет (блоге) свое личное мнение по каким-либо вопросам и проблемам, предоставившее неограниченный доступ к блогу неопределенному кругу пользователей сети и возможность комментировать публикации», первого поста бы не было. Приблизительно такое представление сложилось в обществе о блогерах в настоящее время. Но в 97-ФЗ блогер обладает двумя родовыми признаками:
·         он владелец сайта, т.е. владелец совокупности программ для ЭВМ и иной информации, содержащейся в информационной системе (видимо, созданного блогером контента, но точно закон об этом не говорит), доступ к которой обеспечивается посредством сети интернет по доменным именам и (или) по сетевым адресам, позволяющим идентифицировать сайты;
·         на сайт, принадлежащий блогеру, в день заходит более 3000 пользователей сети интернет (опять-таки не ясно, в среднем за неделю, месяц, год или в тот день, когда на сайт, оснащенный рекомендованными счетчиками, зайдет в порядке систематического контроля инспектор Роскомнадзора и увидит хотя бы на одном счетчике число более 3000). Что счетчики показывают совершенно разные результаты, наглядно показал на примере своего сайта Тарас Злонов. Когда я писал этот абзац, показатели счетчиков у него не очень плавно колебались от 2 до 411.
Следующим важнейшим субъектом, чья деятельность регулируется новым законом, является организатор распространения информации. Кто же это? Если закон о блогерах, логично предположить, что это тот, кто предоставляет техническую возможность блогеру делиться своими мыслями – всякие там социальные сети, живые журналы, сайты, печатающие или перепечатывающие посты. Внимательно читаем определение части 1 новой ст.10.1 «трехглавого закона»: «Организатором распространения информации в сети "Интернет" является лицо, осуществляющее деятельность по обеспечению функционирования информационных систем и (или) программ для электронных вычислительных машин, которые предназначены и (или) используются для приема, передачи, доставки и (или) обработки электронных сообщений пользователей сети "Интернет"».
Вы точно внимательно прочитали? И что увидели? Я увидел следующее. Если через сайт можно передать, доставить или обработать любое электронное сообщение, то владелец сайта или оператор информационной системы, эксплуатирующий ее по соглашению с владельцем, являются организаторами распространения информации. А это и сайты по бронированию чего угодно, и все интернет-магазины, и сайты, предоставляющие возможность прокомментировать его контент, и т.п.
А теперь приготовьтесь. Вы устойчиво сидите у своего ноутбука? Планшет опасно упасть не может? Тогда читайте. Под определение организатора распространения информации, данное в законе, подпадает любая организация, имеющая собственный почтовый сервер или внутренний портал с возможностью коммуникации персонала между собой.
Более того, если в соответствии с частью 7 статьи 10.2 владельцы сайтов, которые зарегистрированы в соответствии с законом от 27.12.1991 № 2124-1 «О средствах массовой информации» в качестве сетевых изданий, не являются блогерами, то указания на то, что они не являются организаторами распространения информации, в новой редакции закона нет, а значит, они (СМИ в интернете) должны выполнять все обязанности, предусмотренные частями 2-4 ст.10.1. Т.е. уже сегодня, а не с 1 сентября 2016 года, хранить на территории России персональные данные россиян, уведомить о своей деятельности Роскомнадзор и поставить средства СОРМ. Сегодня, а точнее – с 1 августа 2014 года.
И уже ясно, кто определит требования к устанавливаемому оборудованию. С 12 августа вступает в силу Постановление Правительства РФ от 31.07.2014 № 741 «Об определении федерального органа исполнительной власти, уполномоченного на установление требований к оборудованию и программно-техническим средствам, используемым организатором распространения информации в информационно-телекоммуникационной сети «Интернет», в эксплуатируемых им информационных системах». Естественно, этим органом стало Минкомсвязи, которое уже разместило на едином портале сведения о том, что публичное обсуждение проекта соответствующего приказа начато, правда, текст обсуждаемого документа пока не выложило.
Требований к оборудованию СОРМ  пока нет. Зато в тот же день, 31 июля, Постановлением Правительства N 759 утверждены «Правила хранения организаторами распространения информации в информационно-телекоммуникационной сети "Интернет" информации о фактах приема, передачи, доставки и (или) обработки голосовой информации, письменного текста, изображений, звуков или иных электронных сообщений пользователей информационно-телекоммуникационной сети "Интернет" и информации об этих пользователях, предоставления ее уполномоченным государственным органам, осуществляющим оперативно-разыскную деятельность или обеспечение безопасности Российской Федерации».
И вы знаете, что, помимо прочего, попало в перечень фиксируемой информации? Не поверите. «Фактически фиксируемая коммуникационным сервисом информация об организации приема, передачи, доставки и (или) обработки электронных сообщений, осуществляемых с использованием технологий электронных платежных систем, в том числе информация о произведенных денежных операциях (с указанием информации о корреспонденте-идентификаторе платежной системы, валюты, суммы, оплачиваемой услуги или товаров (при наличии), об иных данных, указанных при проведении денежной операции), осуществленных транзакциях (с указанием идентификатора платежной системы ("электронного кошелька"), суммы прихода либо расхода, иных данных, указанных при осуществлении транзакции)». Банкам, магазинам принимающим платежные карты, владельцам платежных терминалов и прочим организаторам электронных кошельков стоит обратить внимание.
Кстати, про то, за чей счет все это будет фиксироваться, ни в законе, ни в новых постановлениях нет ни слова.
В заключение. Пост – не про здравый смысл. Пост – про буквы, которые написаны в законе.

4 августа 2014 г.

Закон не о блогерах

В пятницу, 1 августа, вступил в силу Федеральный закон от 5 мая 2014 года № 97-ФЗ с уже привычным названием «О внесении изменений в Федеральный закон «Об информации, информационных технологиях и о защите информации» и отдельные законодательные акты Российской Федерации по вопросам упорядочения обмена информацией с использованием информационно-телекоммуникационных сетей», который в многочисленных комментариях получил название «закон о блогерах». А закон «Об информации, информационных технологиях и о защите информации» я привычно буду дальше называть «трехглавым законом».
Так вот, закон – вовсе не о блогерах. Главные там – владельцы сайтов и распространители информации, под категорию которых подпадают владельцы практически всех сайтов в сети интернет с пороговой посещаемостью в 3000 уникальных посетителей в сутки, не являющиеся СМИ – солидные банки и большие интернет-магазины, форумы и многие другие. А вовсе не сайты или страницы блогеров.
Давайте разбираться.
В соответствии с частью 1 ст.10.2, блогер – это владелец сайта и (или) страницы сайта в сети интернет, на которых размещается общедоступная информация, и доступ к которым в течение суток составляет более трех тысяч пользователей сети интернет. А владелец сайта (термин появился в «трехглавом законе» еще в 2012 году) – это лицо, самостоятельно и по своему усмотрению определяющее порядок использования сайта в сети интернет, в том числе порядок размещения информации на таком сайте. Вы что-нибудь увидели в этих определениях из общепринятых признаков блогов – размещение личного мнения по тем или иным вопросам с возможностью любому желающему их прокомментировать? Я – нет. Вижу в них только размещение общедоступной информации в интернете, которую ежедневно читают более трех тысяч разных пользователей. Доска объявлений, аукцион, любой хорошо посещаемый сайт.
Далее. Применительно к сервису, который я использую для своего блога, вот этого, например, владельцем сайта является компания Google, в 2003 году купившая компанию Pyra Labs –владельца сервиса Blogger, который вместе с доменным адресом www.blogspot.com перешел к покупателю. Именно Google, а не я, по своему усмотрению определяет порядок использования сайта в интернете и размещения информации на нем. В соответствии с «Условиями использования Google», Blogger - одна из служб Google, которая предоставляется пользователям на основании личной, действующей во всем мире, безвозмездной, неисключительной и не подлежащей переуступке лицензии на использование программного обеспечения в рамках работы со службами Google. Пользователи, в свою очередь, должны соблюдать все правила, с которыми им предложено ознакомиться при использовании служб. 
Оперируя термином «владелец страницы сайта», «трехглавый закон», тем не менее, определения ему не дает. Потому что страница сайта, в соответствии с этим же законом, - это часть сайта в сети интернет, доступ к которой осуществляется по указателю, состоящему из доменного имени и символов, определенных владельцем сайта в сети интернет. Из этого определения следует, что никакого отдельного владельца у страницы быть не может, ею распоряжается владелец сайта. Таким образом, все графоманы, вроде меня, пишущие в сети, блогерами в терминах закона не являются, все вопросы надо адресовать к владельцу сайта, в данном случае к Google. А он находится вне юрисдикции «трехглавого закона», поскольку читаем в тех же «Условиях использования», «Все споры, так или иначе связанные с данными Условиями использования, разрешаются в соответствии с законодательством штата Калифорния (США), исключая положения о конфликте законов. Все иски, так или иначе связанные с настоящими Условиями использования или самими Службами, находятся в компетенции судов федерального уровня или уровня штата, расположенных в округе Санта-Клара (штат Калифорния, США). Вы наравне с компанией Google признаете юрисдикцию этих судебных органов».
Да, я помню, с 1 сентября 2016 года доступ к блогу в России можно заблокировать (на самом деле можно уже сегодня, но это отдельная песня). Но выполнять требования ст.10.2 Google (как и любой другой зарубежный владелец ресурса для размещения блогов и иной общедоступной информации) может исключительно на добровольной основе.
Когда же, исходя их указанных определений, физлицо подпадает под определение блогера? Если сайт принадлежит ему (зарегистрирован на него) и он установил правила его использования.
Зато, как я уже писал выше, под определение подпадают владельцы российских сайтов, не зарегистрированные как средства массовой информации с установленной минимальной посещаемостью. И им уже не удастся, создав страницу для размещения информации пользователями и посетителями, перевести стрелки, указав в дискламейре, что всю ответственность за соблюдения закона несут лица, а владелец сайта за все не собственные публикации, мнения, высказывания и их содержание не отвечает. Для него теперь шесть обязанностей и два запрета в статье 10.2, и следить за контентом, если блокировка доступа является неприемлемым риском, придется еще как внимательно. Потому что если не следить, начинает работать новая статья закона 15.4. «Порядок ограничения доступа к информационному ресурсу организатора распространения информации в сети "Интернет"».